Служба токенов безопасности, временные учетные данные безопасности для AWS

Опубликовано: 7 Марта, 2023
Служба токенов безопасности, временные учетные данные безопасности для AWS

Введение

Было отмечено, что служба AWS Security Token Service (STS) теперь активирована по умолчанию для всех регионов AWS, чего раньше не было. Безопасность приложений и служб является наиболее важной задачей, и эта служба по умолчанию, доступная во всех регионах, поможет в борьбе за безопасность, с которой организации сталкиваются ежедневно.

Для взаимодействия с AWS требуются учетные данные безопасности AWS. Учетные данные подтверждают личность и проверяют, есть ли у пользователя разрешение на доступ к запрашиваемым ресурсам. Таким образом, учетные данные безопасности используются для аутентификации и авторизации вызовов, которые выполняются в AWS.

Не следует недооценивать важность безопасности учетных данных AWS. Учетные данные — это ключи ко всем вашим ресурсам и сервисам AWS, и они должны оставаться в безопасности. В некоторых случаях для бизнес-функции необходимо, чтобы лица, которым обычно не требуется доступ к этим учетным данным, получили доступ, и это часто имеет место в отношении devops. В таких обстоятельствах (среди прочего) использование временных учетных данных может быть очень полезным и эффективным способом ограничить риск и предложить временные учетные данные для доступа с ограниченными привилегиями в течение ограниченного времени.

AWS Security Token Service — это сервис временных учетных данных безопасности для использования с приложениями и сервисами AWS. Этот передовой метод обеспечения безопасности AWS эффективен для делегирования временного доступа к ресурсам и сервисам AWS, и, кроме того, недавняя глобальная доступность по умолчанию также может повысить отказоустойчивость и сократить задержки за счет использования конечной точки STS в непосредственной близости от вас.

Управление идентификацией и доступом (IAM)

IAM, Identity and Access Management, позволяет управлять долгосрочными учетными данными AWS для пользователей IAM, включая пароли, ключи доступа и пары ключей. Кроме того, IAM позволяет выдавать временные учетные данные для доступа к ресурсам AWS, что полезно в тех случаях, когда требуется временный доступ, что бывает чаще, чем нет.

Существует три этапа использования STS:

  1. Выберите для активации регион
  2. Получить временные учетные данные безопасности от STS
  3. Используйте учетные данные для доступа к ресурсам AWS

Распространенные варианты использования STS

Временные учетные данные полезны в ситуациях, связанных с объединением удостоверений, делегированием, доступом между учетными записями и ролями IAM, и могут использоваться для доступа к большинству сервисов AWS.

Варианты использования могут включать:

  • Приложения, работающие на инстансах Amazon EC2, которым требуется доступ к ресурсам AWS.

Приложениям, работающим на экземпляре Amazon EC2, может потребоваться доступ к ресурсам AWS, и для этого необходимы учетные данные для доступа. Временная подготовка учетных данных (STS) устраняет проблему распределения учетных данных для включения этих различных функций, а также устраняет связанные с этим проблемы управления и безопасности. Временные учетные данные могут быть предоставлены экземплярам при запуске.

  • Доступ к нескольким аккаунтам (межаккаунтовый доступ)

Для управления ресурсами в AWS вы можете использовать несколько учетных записей AWS, возможно, чтобы изолировать разные отделы. Это не означает, что пользователям из одной учетной записи будут нужны ресурсы только из этой учетной записи, но иногда может потребоваться доступ к ресурсам из другой учетной записи, к которым они обычно не имеют доступа. Вместо предоставления пользователям нескольких удостоверений, удостоверения для каждой учетной записи, к которой им может потребоваться доступ, проще управлять учетными данными и безопаснее использовать STS в этих обстоятельствах.

  • Объединение удостоверений для пользователей, не являющихся пользователями AWS, чьи удостоверения можно аутентифицировать

У пользователей могут быть удостоверения вне AWS, но им все равно нужно работать с приложениями и ресурсами AWS, и поэтому для этого им потребуются учетные данные AWS. Временные учетные данные упрощают управление и обеспечивают безопасность. Удостоверениями пользователей можно управлять во внешней системе за пределами AWS, и пользователям может быть разрешен доступ для входа из этих внешних систем для доступа к ресурсам AWS и выполнения функций AWS.

Преимущества, связанные с использованием STS

Для STS существует множество вариантов использования (некоторые из них обсуждались выше), кроме того, STS позволяет организациям расширять преимущества, выходящие за рамки только функции «временных учетных данных». Эти временные учетные данные позволяют организациям повысить уровень безопасности и снизить риски для безопасности, что является очень полезным атрибутом, поскольку STS поддерживает принцип наименьших привилегий, принцип, который настоятельно рекомендуется для повышения безопасности независимо от используемой среды, процессов или вычислительной инфраструктуры и служб.

Использование AWS STS для всех пользователей может значительно повысить безопасность. Подход к безопасности с наименьшими привилегиями, при котором пользователям предоставляются только минимальные разрешения, необходимые им для выполнения своих бизнес-задач, поддерживается службой STS. С помощью STS роли могут быть разграничены, и пользователям предоставляются только те разрешения, которые необходимы для выполнения этих ролей.

Доступ пользователей к ресурсам AWS может предоставляться без необходимости определять для них удостоверение AWS, а временные учетные данные формируют основу для ролей и федерации удостоверений.

Еще одним преимуществом является единообразие, которое STS поощряет путем установления ролей, позволяющих нескольким пользователям, независимо от источника, выполнять одну и ту же роль и работать с одинаковыми предоставленными разрешениями. Контроль и управление стали намного проще. Возможность брать на себя роли с точными разрешениями только для выполнения определенной задачи позволяет пользователям, которые обычно не берут на себя эту роль, брать на себя роль, когда это необходимо, но разрешения ограничены этой ролью, поэтому пользователям не нужно предоставлять привилегии во всей системе и, таким образом, снижение риска безопасности. Таким образом, следуя принципу наименьших привилегий для повышения безопасности.

Это приносит пользу разработчикам, особенно потому, что им часто требуется доступ к многочисленным частям среды во время цикла разработки приложений.

Временные учетные данные снижают потребность в управлении, распространении или встраивании долгосрочных учетных данных безопасности AWS для приложений.

Учетные данные имеют ограниченный срок действия и не требуют ротации или отзыва, поскольку срок их действия истекает по истечении срока действия (который может быть выбран организацией), и, кроме того, учетные данные с истекшим сроком действия нельзя использовать повторно.

Как это работает

AWS выдает учетные данные одним из двух способов: либо предоставляя токен из федерации удостоверений, либо предоставляя учетные данные через аутентифицированного пользователя IAM. впоследствии AWS STS генерирует временные учетные данные по запросу пользователя на получение роли. Учетные данные можно настроить так, чтобы они длились до часа или менее часа, в зависимости от необходимости (по умолчанию установлено значение часа). Аутентификация пользователей перед созданием и использованием учетных данных повышает уровень безопасности. Роль можно дополнительно защитить с помощью многофакторной аутентификации (MFA).

Временные учетные данные генерируются динамически и предоставляются по запросу, но никогда не сохраняются у пользователя.

Управление и мониторинг

Наличие временных учетных данных, используемых с ролями IAM, избавляет от необходимости управлять долгосрочными учетными данными и пользователями IAM каждый раз, когда требуется доступ к ресурсу. STS также поддерживает создание отчетов через AWS CLoudTrail, чтобы организация всегда знала, какие запросы отправляются к STS, кем и когда был инициирован запрос.

Вывод

Эта мощная и универсальная функция полезна для многих приложений хостинга на платформе AWS. Сервис AWS STS — очень полезный сервис с многочисленными вариантами использования и преимуществами для организаций, которые его используют. Сервис поддерживает всестороннюю безопасность. AWS STS предлагается в качестве передового метода обеспечения безопасности AWS, и при использовании в соответствии с требованиями AWS может эффективно помогать в управлении доступом и защите очень важных учетных данных AWS. Вполне вероятно, что эта функция станет де-факто для любого хостинга в AWS.

Облачные вычисления

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Вопросы безопасности для облачных вычислений (часть 5) — быстрая эластичность
9 Марта, 2023
Использование Hyper-V для создания частного облака (часть 6)
9 Марта, 2023
Начало работы с VMware vCloud Director (часть 1)
9 Марта, 2023
Вопросы безопасности для облачных вычислений (часть 4) — объединение ресурсов
9 Марта, 2023
Сценарии развертывания облачной сетевой инфраструктуры Microsoft с Windows Server 8 (часть 1) — традиционный центр обработки данных
9 Марта, 2023
Вопросы безопасности для облачных вычислений (часть 3) — широкий доступ к сети
9 Марта, 2023
Использование Hyper-V для создания частного облака (часть 5)
9 Марта, 2023
System Center 2012 и управление облаком
9 Марта, 2023